Bloqueo de espias y scanners como por ejemplo "Morfeus fucking scanner"

bloquear_Morfeus_fucking_scanner.jpg
Un firewall no sirve para todo, scanners y espias abundan por Internet, registran todo lo que encuentran y sobretodo buscan vulnerabilidades o exploits que utilizar
Recientemente y extrañamente mis estadísticas en Google Analytics se dispararon, que alegría!!! pensé esto va mejor de lo que pensaba. Pues no, era un vulgar ataque al servidor por el puerto 80. Pero no era un ataque DDoS, era un ataque muy leve, no apreciable en la carga del servidor, ya que eran llamadas continuas pero pausadas. Por ser por el puerto por defecto para cualquier web, puerto 80, el script de Google Analytics las recogía como visitas, ahí fue donde vi que algo pasaba.
 
En concreto el scanner que me estaba escaneando, valga la redundancia se hace llamar "Morfeus Fucking Scanner", el cual sin pausa pero sin prisa escanea todo lo que puede, probando sobretodo vulnerabilidades conocidas de Wordpress, Drupal, Phpmyadmin etc ... y muchas otras herramientas de software libre.
De aqui la importancia de tener nuestras aplicaciones siempre actualizadas a la ultima o de las ultimas versiones posibles. Igualmente prueba directorios sin sentido de todo tipo.
 
No era plan tenerlo husmeando todo el día así que decidí acabar con él.
 

Solución rápida

 
La solución rápida, sencilla y que casi todo el mundo puede aplicar el bloquearlo por .htaccess, he aquí la formula mágica para tal efecto.
		RewriteEngine On

		RewriteCond %{HTTP_USER_AGENT} ^Morfeus

		RewriteRule ^.*$ - [F]

Solución más radical

 
El banneo (bloqueo) por IP, el cual se puede hacer también por .htaccess
	#Morfeus Fucking Hacker

	deny from 217.118.2.160
Obtener la ip, bueno si tenéis acceso a los logs de apache es fácil, en el archivo access.log (/var/log/access.log) deberéis ver todas las llamadas q esta haciendo este espía, de ahí podéis sacar una o varias IP's para bloquear.
 
Aunque para mi gusto es mejor hacerlo directamente en la IPTables
		iptables -A INPUT -s 217.118.2.160 -j DROP

Solución radical y de futuro

 
Googleando encontre esta pagina, donde explica como hacer un banneo de IPs pero con cabeza, con memoria diria yo, aunque puede ser un poco cargante ejecutar tantas veces una tarea para este proposito, pero en función de a que web o portal este atacando no es mala solución.
 
 
No la he probado, la verdad, pero viendo el ritmo de ataques en la red y su perspectiva de futuro, creceran, creceran y seguiran creciendo es bueno tener un as en la manga.

Comments

  1. El Autoestopista 2011-11-23 21:10:09

    ¡Anotado! Buen aporte

  2. ACampanario 2011-11-23 21:40:39

    Gracias ;)

  3. Albert 2011-11-24 08:10:15

    Interesante que te dieras cuenta con Google Analytics (y todavía hay gente que no le ve la utilidad!). De todas maneras, bloquear una IP es una solución un poco inefectiva ¿no? Al fin y al cabo este tipo de ataques se hacen mediante robots que van atacando desde varios servidores. Nos vemos señor!

  4. ACampanario 2011-11-24 08:57:49

    No es eficiente, es eficaz, las hay mas eficientes pero no a ser aplicadas en el mismo servidor, sino como filtros web en el puerto 80, las cuales son aplicativos web que se instalan por delante, en otras maquinas y que cualquier proveedor de Hosting te cobrara por ello, así que esta solución aquí presente es eficaz y sobre todo no cuesta un duro xD

  5. Luck 2012-01-14 01:51:48

    Clear, informative, spimle. Could I send you some e-hugs?

create gmail account